Codeigniter. Уязвимости

Очень много хвалебных отзывов звучит в сторону безопасности Codeigniter. И это не пустые слова. Но, порой, при проектировании люди забывают о банальных вещах, открывая двери злоумышленникам.

Уязвимость может обнаружиться в сессиях CI. Сессии, как известно могут хранится в БД и Coockies. Стандартный механизм сессий CI не поддерживает. По умолчанию Codeigniter юзает coockies, данные в которых не шифруются. Допустим, вы храните в сессии данные, которые не должен знать пользователь. Но ради любопытства он заглянул в cookies и увидел там то, что не должен. А вот этот как раз и есть серьезная уязвимость.

Выходов, как всегда, несколько. Самый сложный - перепроекторовать систему так, чтобы она не отдавала важные данные в кукисы. Второй способ заключается в шифровании сессии. Вернее, данных, которые записываются в кукисы. Для того, чтобы включить эту возможность, открываем файл с конфигами system/application/config/config.php и изменяем:

$config['encryption_key'] = "";
на
$config['encryption_key'] = "ваш кей";
$config['sess_encrypt_cookie'] = FALSE;
на
$config['sess_encrypt_cookie'] = TRUE;

И, наконец, самый простой способ - использовать БД в качестве места хранения сессий. Как это делается можно прочитать в мануале, так что долго останавливатся на этом не буду.

Интересное

Отзыв о FirstVDS
При покупке хостинга у FirstVDS мне предложили скидку за годный отзыв в блоге или на форуме....
Project Glass — Очки будущего от Google
Компания Google представила суперсовременные «очки дополненной реальности» или Project Glass. Впрочем,...
Проверка сайта на вирусы
Если пользоваться привычной терминологией, то web вирусы не являются вирусами в традиционном...
Git и Bitbucket
Git – это распределенная система контроля версий. Пожалуй, на этом теория заканчивается, так как...

Комментарии

    Чтобы оставлять комментарии, авторизируйтесь

    Войти через OpenID

    рейтинг0+-
    Популярные
    Точки входа
    Наверх